L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat una nota tècnica que inclou directrius sobre el deure d’informar i altres mesures de responsabilitat proactiva en aplicacions mòbils de l’àmbit educatiu i el de l’activitat física, benestar i salut. El document, dirigit tant a organitzacions responsables del tractament de dades d’aplicacions mòbils com als desenvolupadors de les mateixes i de llibreries, té com a objectiu detectar pràctiques que puguin resultar lesives per a la privacitat dels usuaris, aportant solucions o alternatives als agents implicats que fomentin el principi de responsabilitat proactiva.
La nota tècnica ha estat desenvolupada en el marc d’una sèrie de treballs realitzats de forma conjunta amb la Universitat Politècnica de Madrid sota la direcció de l’AEPD. El primer d’ells aborda els tractaments de dades que efectuen les aplicacions mòbils que es fan servir en l’entorn de l’educació obligatòria, i el segon se centra en apps que monitoritzen l’activitat física, el benestar i la salut. En ells s’han analitzat les deu apps més descarregades en el principal mercat d’aplicacions de cada un dels àmbits objecte d’estudi, incloent apps tant de pagament com gratuïtes.
Una part de les directrius contemplades en la nota tècnica s’emmarquen en l’obligació d’informar que recull el Reglament General de Protecció de Dades (RGPD). Dins d’aquest apartat es recullen aspectes de compliment d’especial rellevància, com la necessitat de garantir un accés senzill a la política de privacitat de l’aplicació; identificar clarament el responsable; oferir una informació clara i consistent tant a la botiga d’aplicacions com en la pròpia aplicació, o d’oferir un llenguatge adequat a l’edat i grau de coneixement de l’usuari, entre d’altres.
La resta d’indicacions estan enfocades al supòsit en què els responsables s’encarreguin el desenvolupament, posada en producció, i / o explotació d’aplicacions a terceres parts que tinguin accés a dades personals, recordant els requisits normatius que s’han de complir en cada un dels casos, entre els quals s’inclou la necessitat de regular el tractament de dades per contracte o vincle legal, així com d’adoptar bones pràctiques i tenir en compte la privacitat des del disseny i per defecte des del moment en què es concep l’app.
Entre les conclusions de la nota tècnica, l’AEPD recorda que quan una aplicació sol·liciti a l’usuari permís per accedir a dades obtingudes a partir de sensors i magatzems de dades del mòbil, aquesta informació ha de quedar reflectida de manera apropiada en la política de privacitat, explicant amb quina finalitat es van a tractar aquestes dades perquè l’usuari pugui decidir en conseqüència. En relació amb els responsables que contractin a terceres parts per desenvolupar, posar en producció o explotar aplicacions, i tinguin accés a dades personals, l’Agència subratlla que han d’assegurar-complir amb els requisits establerts en el RGPD per a cadascuna de les parts.
Font: AEPD